BUG反饋：openssl又被爆出新漏洞（CVE-2016-2107）求更新

419429714

(老大admin管理 求更新包)

OpenSSl 密碼庫的維護人員發(fā)布了一個高危安全漏洞的補�。–VE-2016-2107），這個漏洞可以讓攻擊者在web服務(wù)器上解密登錄證書或者執(zhí)行惡意代碼。

當(dāng)連接使用AES CBC加密并且服務(wù)器支持AES-NI的情況下，中間人攻擊者可以使用padding oracle攻擊來解密流量。

填充檢測被重寫來確保讀取的字節(jié)總是相同的，并且對MAC和填充字節(jié)進行比較。但它不再檢查是否有足夠的數(shù)據(jù)來包含MAC和填充字節(jié)。

影響：高危

修復(fù)方案：

OpenSSL 1.0.2 用戶請更新到1.0.2h版本

OpenSSL 1.0.1 用戶請更新到1.0.2t版本

https://www.openssl.org/news/vulnerabilities.html#y2016

php版本:5.3.29

php版本:5.2.17

WDCP:wdcp_v2.5.15

admin

http://cd-genova.com/bbs/thread-53122-1-1.html